Jump to content
Sign in to follow this  
SpecialK

Über zwei VPNs hinweg Routen, die zweite

Recommended Posts

Hallo,

 

nun haben wir einen komplett neuen VPN Zugang auf unserem Server bekommen, so dass sich die Grundvoraussetzungen geändert haben. Daher noch mal dieser Thread:

 

Folgende Situation:

 

Server:

1 Netzwerkkarte ist gebridged mit tun0

Die Bridge hat die IP 192.168.3.99

 

Auf dem Server ist zusätzlich noch eine virtuelle Netzwerkkarte des VPN Tunnels der Firma Fortinet. Dieser bekommt bei Aufbau des Tunnels die IP 172.16.55.11

 

Wenn der Tunnel aufgebaut ist, kann ich vom Server auf sämtliche PCs im Arbeitsnetzwerk zugreifen. (141.42.44.*)

 

Nun sitze ich zu Hause an meinem PC, der ganz normal über DSL angebunden ist. Von diesem kann ich eine OpenVPN Vebrindung zum Server aufbauen. Dann bekommt die virtuelle tun0 Netzwerkkarte auf meinem HeimPC die 192.168.3.100

Ich kann den Server mit der 192.168.3.99 anpingen und auch komplett erreichen. Der Server kann auch meinen HeimPC erreichen.

Nur möchte ich nun gerne über das bestehende OpenVPN auch über den Server und dort über den Fortinet VPN Zugang auf meinen DienstPC. (141.42.44.*)

 

Daran scheitert es offensichtlich.

Ich habe bereits auf meinem Heim PC eine Route in der Form von:

"route add 141.42.44.0 mask 255.255.255.0 192.168.3.99)"

angelegt. Ein Trace auf die IP 141.42.44.13 von meinem Heim PC kann ich bis zu 192.168.3.99 verfolgen. Danach bricht er aber ab.

Also leitet der Server die auf dem OpenVPN ankommenden Pakete nicht über den Fortinet VPN weiter.

 

Bevor ich ganz aufgebe, wollte ich noch einmal anfragen, ob ich eventuell etwas übersehen habe oder ob dies tatsächlich gänzlich unmögich ist.

Prinzipiell müsste der Server die über OpenVPN eingehenden Pakete ja "nur" als seine eigenen ausgeben und schon müsste es laufen.

Und bevor Fragen aufkommen: Ich habe die Erlaubniss unserer DV für diese "Tests" ;)

 

SpecialK

Share this post


Link to post

Prinzipiell müsste der Server die über OpenVPN eingehenden Pakete ja "nur" als seine eigenen ausgeben und schon müsste es laufen.

 

Damit das passiert muss die Verbindung genattet sein (NAT). und zwar auf deinem Server. ich habe zwar schon von solchen Konstrukten gehört in denen zweimal genattet wird, kann mir aber nicht vorstellen, daß das mit VPN funkrioniert. Die entfernte Firewall muss das als Spoofing werten und die Pakete verwerfen.

 

Gehen die Pakete denn überhaupt über den Server hinaus (versucht er es denn)?

 

poste mal den route print des Servers.

Share this post


Link to post
ich habe zwar schon von solchen Konstrukten gehört in denen zweimal genattet wird, kann mir aber nicht vorstellen, daß das mit VPN funkrioniert. Die entfernte Firewall muss das als Spoofing werten und die Pakete verwerfen.

Grundsätzlich funktioniert das, mit dem Spoofing hast Du natürlich recht. Im Falle einer Watchguard als innerner VPN-Appliance muss das konfiguriert werden, sonst werden die Pakete der äusseren Firewall verworfen ...

Share this post


Link to post

Moin,

 

ob er der Server es versucht, vermag ich nicht genau zu sagen, da ich bisher noch nicht raus bekommen habe, wie ich das kontrollieren kann.

Hier einmal der Route print Auszug vom Server:

===========================================================================
Schnittstellenliste
0x1 ........................... MS TCP Loopback interface
0x2 ...02 ff 04 af b9 90 ...... MAC-Brückenminiport - Paketplaner-Miniport
0x3 ...00 09 0f fe 00 01 ...... Fortinet virtual adapter - Paketplaner-Miniport
===========================================================================
===========================================================================
Aktive Routen:
    Netzwerkziel    Netzwerkmaske          Gateway   Schnittstelle  Anzahl
         0.0.0.0          0.0.0.0      192.168.3.1    192.168.3.99	  30
        10.0.0.0        255.0.0.0     172.16.55.12    172.16.55.11	  1
       127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1	  1
      141.42.0.0      255.255.0.0     172.16.55.12    172.16.55.11	  1
  141.42.213.251  255.255.255.255      192.168.3.1    192.168.3.99	  1
   172.16.55.11  255.255.255.255        127.0.0.1       127.0.0.1	  20
  172.22.255.255  255.255.255.255     172.16.55.11    172.16.55.11	  20
     192.168.3.0    255.255.255.0     192.168.3.99    192.168.3.99	  30
    192.168.3.99  255.255.255.255        127.0.0.1       127.0.0.1	  30
   192.168.3.255  255.255.255.255     192.168.3.99    192.168.3.99	  30
       224.0.0.0        240.0.0.0     172.16.55.11    172.16.55.11	  20
       224.0.0.0        240.0.0.0     192.168.3.99    192.168.3.99	  30
 255.255.255.255  255.255.255.255     172.16.55.11    172.16.55.11	  1
 255.255.255.255  255.255.255.255     192.168.3.99    192.168.3.99	  1
Standardgateway:       192.168.3.1
===========================================================================
St„ndige Routen:
 Keine

 

SpecialK

Share this post


Link to post

Auf den ersten Blick würde ich sagen, da stimmt was nicht:

 

141.42.0.0 255.255.0.0 172.16.55.12 172.16.55.11 1

141.42.213.251 255.255.255.255 192.168.3.1 192.168.3.99 1

 

Die Netzroute geht über den Fortinet und die Hostroute auf die anere Schnittstelle?

Share this post


Link to post

Die 141.42.213.251 ist das Gateway, welches in der Fortinet Konfiguration angegeben ist.

Die Route wird automatisch beim Aufbau des VPN hinzugefügt.

 

SpecialK

Share this post


Link to post

Dann verwendet der Fortinet doch dieselbe Verbindung wie der andere VPN und die 172er bleibt ungenutzt, oder hab ich das konstrukt nicht verstanden?

Share this post


Link to post

Also, der Fortinet VPN ist dazu da, um von der 192.168.0.99 in den 141.42.X.X Bereich zu kommen. Dazu benutzt der Fortinet VPN für seine virtuelle Netzwerkkarte die 172.16.55.11

In der Konfiguration des VPN Clients ist für diese VPN Verbindung ein Gateway angegeben. Dieses ist die besagte 141.42.213.251.

Dies alles gehört zum Fortinet VPN.

 

SpecialK

Share this post


Link to post

Hi,

 

hast Du auf der Fortigate ne Policy angelegt für beide Netze?

 

Also für Dein Home Netz und das 141er?

 

 

Gruss

Share this post


Link to post

Ja, hatte ich gemacht.

Aber es hat sich nun eh erledigt, da wir eine Möglichkeit gefunden haben, ganz ohne den Fortinet direkt nur über OpenVPN ins Firmennetz zu kommen.

 

SpecialK

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...